...

Součást WeGrow Group

Poděbradská 206/57, Praha 9 – Hloubětín, 198 00

Microsoft Secure Score pro malé firmy 2026: jak změřit a zlepšit zabezpečení Microsoft 365

Microsoft Secure Score pro malé firmy – ukazatel zabezpečení Microsoft 365

RYCHLÁ IT POMOC DOMA NEBO VE FIRMĚ🧑‍💻

Pomohli jsme 63 klientům za poslední měsíc

Zákazníci hodnotí naše služby 4,8/5 ⭐️⭐️⭐️⭐️⭐️ na Google

Microsoft Secure Score je jediné číslo, které vám řekne, jak dobře máte zabezpečený Microsoft 365 — a hlavně co udělat jako první, abyste ho zlepšili. Pro malou firmu bez vlastního IT oddělení je to nejrychlejší způsob, jak zjistit, kde má zabezpečení díry, aniž byste si museli platit drahý bezpečnostní audit.

Problém je, že většina firem Secure Score nikdy neotevře. Microsoft 365 si koupí, nastaví e-maily, rozdá licence — a tím to končí. Přitom v administraci celou dobu čeká přehled, který za vás udělal půlku bezpečnostní analýzy zdarma.

V tomto průvodci si projdeme, co Secure Score skutečně měří, kde ho najdete, jak číst jeho hodnotu, kterými opatřeními začít a jaké chyby dělají malé firmy nejčastěji.

Co je Microsoft Secure Score?

Microsoft Secure Score je bodové hodnocení zabezpečení vašeho prostředí Microsoft 365, vyjádřené v procentech. Microsoft porovnává, kolik doporučených bezpečnostních opatření máte zapnutých, oproti tomu, kolik jich pro vaše licence existuje celkem.

Skóre pokrývá několik oblastí:

  • Identita – účty v Microsoft Entra ID, administrátorské role, přihlašování
  • Zařízení – firemní počítače a mobily napojené na Microsoft Defender
  • Aplikace – e-mail, Teams, SharePoint, cloudové služby
  • Data – ochrana a klasifikace firemních dokumentů

Ke každému doporučení (Microsoft jim říká improvement actions, česky „doporučené akce”) vidíte, kolik bodů získáte, jak náročné je nasazení a jaký to bude mít dopad na uživatele. Detailní popis metodiky najdete v oficiální dokumentaci Microsoftu.

Co skóre měří – a co neměří

Tohle je nejdůležitější věta celého článku: Secure Score neměří, jestli jste v bezpečí. Měří, kolik doporučení Microsoftu jste přijali.

Rozdíl je zásadní. Firma se skóre 90 % může být vyloupená přes phishing, protože zaměstnanci nikdy neprošli školením. A firma se skóre 55 % může být v pohodě, protože kritická data má mimo Microsoft 365 a řeší je jinak.

Secure Score proto berte jako mapu priorit, ne jako vysvědčení. Říká vám, kde jsou nejlevnější body — tedy opatření, která dají hodně bezpečnosti za málo práce.

Kde Secure Score najdete

Secure Score je součástí portálu Microsoft Defender:

  1. Přihlaste se na security.microsoft.com
  2. V levém menu otevřete sekci Exposure management (Správa expozice)
  3. Klikněte na Secure Score

Uvidíte aktuální procento, historický vývoj v čase, rozpad podle kategorií a seznam doporučených akcí seřazený podle počtu bodů.

Pro přístup potřebujete odpovídající roli — typicky Global Administrator, Security Administrator nebo alespoň Security Reader, pokud chcete jen číst. Běžný uživatel se k Secure Score nedostane.

Pozor na licence: jaká doporučení uvidíte, závisí na tom, co máte předplacené. Firma s Business Basic uvidí méně akcí než firma s Business Premium. Skóre se přepočítává vůči tomu, co je pro vaše licence reálně dostupné — porovnávat procenta mezi dvěma firmami s různými licencemi proto nedává smysl. Pokud zvažujete upgrade, projděte si naše srovnání Microsoft 365 Business Premium a Standard.

Jak se skóre počítá

Vzorec je jednoduchý: získané body ÷ maximální možné body × 100.

Body získáte za splnění doporučené akce. U některých akcí dostanete body i částečně — například pokud máte vícefaktorové ověření zapnuté u 60 % uživatelů, dostanete zhruba 60 % bodů za dané opatření.

Několik praktických poznámek:

  • Skóre se aktualizuje přibližně jednou za 24 hodin. Když dnes zapnete MFA, číslo se pohne až zítra. Nepanikařte, že se nic neděje.
  • Maximum se v čase mění. Microsoft přidává nová doporučení. Vaše skóre proto může klesnout, i když jste nic nezměnili — jen přibyla nová opatření, která nemáte.
  • Body dostanete i za „vyřešeno jinak”. K tomu se dostaneme níže.

Jaké skóre je dobré?

Neexistuje univerzální „správné” číslo a nedoporučujeme honit se za 100 %. Některá doporučení jsou pro malou firmu nepraktická nebo neúměrně omezí uživatele.

Microsoft v portálu nabízí srovnání s organizacemi podobné velikosti a oboru — to je mnohem užitečnější metrika než absolutní hodnota. Pokud jste výrazně pod průměrem srovnatelných firem, máte nedodělky v základech.

Praktický přístup, který doporučujeme klientům:

  1. Nejdřív zavřete základy identity. MFA, blokace zastaralého ověřování, omezení administrátorů.
  2. Pak ochrana e-mailu a zařízení. Phishing a nezabezpečené notebooky jsou dvě nejčastější vstupní brány.
  3. Nakonec data a jemné doladění. Klasifikace, DLP, retenční politiky.

Když projdete tyhle tři vlny, skóre se obvykle zvedne samo — a hlavně budete skutečně bezpečnější, ne jen lépe obodovaní.

Čím začít: opatření s největším dopadem

Microsoft Secure Score – tři opatření, kterými zlepšit skóre zabezpečení Microsoft 365

1. Vícefaktorové ověření pro všechny účty

Nejdůležitější jediné opatření, které v Microsoft 365 můžete udělat. Heslo se dá ukrást, uhodnout nebo vyfishovat. Druhý faktor útočníkovi chybí.

Microsoft dlouhodobě uvádí, že vícefaktorové ověření zablokuje drtivou většinu útoků na kompromitaci účtu — podrobná data pravidelně publikuje v Microsoft Digital Defense Report.

Začněte administrátorskými účty, pak nasaďte MFA na všechny uživatele. Ideálně přes aplikaci Microsoft Authenticator, ne přes SMS.

2. Zablokujte zastaralé ověřování (legacy authentication)

Staré protokoly jako POP3, IMAP nebo SMTP AUTH neumí vícefaktorové ověření. Útočník, který má heslo, se přes ně přihlásí i přesto, že máte MFA zapnuté.

Zablokovat je můžete pravidlem podmíněného přístupu (Conditional Access) — postup popisuje i návod Microsoftu k blokaci zastaralého ověřování. Než to uděláte, ověřte, že žádná tiskárna, skener ani starší účetní systém tyto protokoly nepoužívá — jinak přestanou odesílat e-maily.

3. Ochrana e-mailu a firemních zařízení

Nastavte politiky anti-phishingu a bezpečných příloh v Microsoft Defenderu a napojte firemní počítače na správu zařízení. Bez toho nemáte přehled o tom, jestli mají zaměstnanci aktuální systém a zapnuté šifrování disku.

Jak na centrální správu zařízení jsme podrobně popsali v článku o Microsoft Intune pro malé firmy.

4. Omezte počet administrátorů

Každý globální administrátor je klíč od celé firmy. Microsoft doporučuje mít jich méně než pět a používat je jen pro administraci — ne pro běžnou práci a čtení pošty.

Přidělte uživatelům nejnižší roli, se kterou svoji práci zvládnou. Secure Score za to body dá, ale hlavně tím dramaticky zmenšíte škodu při kompromitaci jednoho účtu.

5. Chraňte samotná data

Když už máte zavřené dveře, řešte, co je uvnitř. Sem patří citlivostní štítky pro klasifikaci dokumentů a politiky prevence úniku dat (DLP), které zabrání odeslání smlouvy nebo rodného čísla mimo firmu.

Stavy doporučených akcí: nemusíte splnit všechno

Tohle většina firem nevyužívá, přitom je to klíč k rozumné práci se skóre. Každou doporučenou akci můžete označit stavem:

  • To address – k řešení, zatím jste s ní nic neudělali
  • Planned – naplánováno, víte o ní a chystáte se ji nasadit
  • Risk accepted – riziko vědomě přijímáte, opatření nenasadíte (body nezískáte)
  • Resolved through third party – řešíte nástrojem jiného výrobce
  • Resolved through alternate mitigation – řešíte jiným opatřením uvnitř Microsoftu

Poslední dva stavy jsou důležité: za obojí body dostanete. Pokud máte antivirus od jiného dodavatele nebo firewall od Fortinetu, není důvod mít kvůli tomu nižší skóre.

Stejně tak Risk accepted není selhání. Je to dokumentované rozhodnutí: „víme o tom, spočítali jsme si to, nedělá nám to smysl.” Přesně tohle chce vidět auditor i pojišťovna.

Pět nejčastějších chyb malých firem

  1. Nikdy Secure Score neotevřou. Nejčastější chyba. Přehled existuje od chvíle, kdy jste si koupili licence.
  2. Honí se za 100 %. Některá doporučení dávají smysl v korporátu s IT oddělením, ne v pětičlenné firmě. Používejte Risk accepted.
  3. Zapnou opatření bez testu. Blokace legacy auth přes noc odstřihne multifunkční tiskárnu od skenování do e-mailu. Vždy nejdřív ověřte dopad.
  4. Podívají se jednou a nikdy víc. Maximum se mění, přibývají nová doporučení. Skóre je běžící metrika, ne jednorázový výsledek.
  5. Zamění skóre za bezpečnost. Zálohy, školení zaměstnanců a plán reakce na incident Secure Score vůbec nesleduje. Přitom bez nich vás vysoké skóre nezachrání.

Jak z toho udělat rutinu

Doporučujeme jednoduchý cyklus, který zvládne i netechnický jednatel:

  • Jednou za měsíc otevřete Secure Score a podívejte se na trend. Klesá? Zjistěte proč.
  • Jednou za čtvrtletí vyberte 2–3 doporučené akce s nejvyšším počtem bodů a nasaďte je.
  • Jednou za rok projděte všechny akce ve stavu Risk accepted a přehodnoťte, jestli rozhodnutí pořád platí.

Kdo dělá bezpečnost systematicky, ocení i doporučení Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který vydává praktické minimální bezpečnostní standardy použitelné i pro menší organizace.

Pokud si nejste jistí, jestli je vaše prostředí nastavené správně, dobrým výchozím bodem je firemní IT audit — Secure Score je jen jedna z věcí, které se v něm kontrolují.

Často kladené otázky

Je Microsoft Secure Score zdarma?

Ano. Secure Score je součástí každého předplatného Microsoft 365 pro firmy a neplatíte za něj nic navíc. Liší se pouze počet doporučených akcí, které uvidíte — ten závisí na úrovni vašich licencí.

Jaké skóre by měla mít malá firma?

Neexistuje univerzální hodnota. Místo absolutního čísla sledujte srovnání s podobně velkými firmami ve vašem oboru, které Microsoft v portálu zobrazuje, a hlavně trend v čase. Rostoucí skóre je lepší signál než vysoké skóre.

Proč mi Secure Score kleslo, když jsem nic nezměnil?

Nejčastěji proto, že Microsoft přidal nová doporučení, a tím zvýšil maximální možný počet bodů. Váš počet získaných bodů zůstal stejný, ale procento kleslo. Druhou příčinou bývá vypršení nebo odebrání licence.

Musím splnit všechna doporučení?

Ne. Doporučení, která pro vaši firmu nedávají smysl, označte jako Risk accepted. Pokud opatření řešíte nástrojem jiného výrobce, použijte stav Resolved through third party — v tom případě body získáte.

Za jak dlouho se skóre projeví po nasazení opatření?

Microsoft přepočítává Secure Score přibližně jednou za 24 hodin. Změnu tedy uvidíte zpravidla následující den, ne okamžitě.

Kdo se k Secure Score ve firmě dostane?

Uživatelé s rolí Global Administrator, Security Administrator nebo Security Operator mají plný přístup. Role Security Reader a Global Reader umožňují skóre pouze prohlížet bez možnosti měnit stavy akcí.

Závěr: skóre jako mapa, ne jako cíl

Microsoft Secure Score je nejlevnější bezpečnostní nástroj, který v Microsoftu 365 máte — a většina malých firem ho nikdy neotevře. Za deset minut vám ukáže, kde jsou největší díry, a seřadí je podle toho, co se vyplatí udělat první.

Nesnažte se dosáhnout stovky. Zavřete základy identity, ochraňte e-mail a zařízení, zdokumentujte, co vědomě neřešíte — a pak se ke skóre vracejte jednou měsíčně. Tím jste před většinou firem svojí velikosti.

Nemáte čas se tím zabývat? Postaráme se o to za vás. V rámci správy firemního IT Secure Score vašeho Microsoftu 365 pravidelně kontrolujeme a řešíme doporučení dřív, než se z nich stane problém.

Chcete vědět, jak na tom vaše firma je? Ozvěte se nám na bezplatný IT audit — projdeme s vámi Secure Score i zbytek vašeho IT.

RYCHLÁ IT POMOC DOMA NEBO VE FIRMĚ🧑‍💻

Pomohli jsme 63 klientům za poslední měsíc

Zákazníci hodnotí naše služby 4,8/5 ⭐️⭐️⭐️⭐️⭐️ na Google

Další příspěvky